Реагирование на оповещения базы данных с открытым кодом Defender

Microsoft Defender для облака обнаруживает аномальные действия, указывающие на нестандартные и потенциально вредоносные попытки получить доступ к базам данных или воспользоваться их уязвимостями, для следующих служб:

• База данных Azure для PostgreSQL
• База данных Azure для MySQL
• База данных Azure для MariaDB

и для экземпляров RDS в AWS (предварительная версия):

• Аврора PostgreSQL
• Аврора MySQL
• PostgreSQL
• MySQL
• MariaDB

Чтобы получить оповещения из плана Microsoft Defender, сначала необходимо включить Defender для реляционных баз данных с открытым исходным кодом в учетной записи Azure или AWS .

Узнайте больше о плане Microsoft Defender в статье Общие сведения о Microsoft Defender для реляционных баз данных с открытым кодом.

Необходимые компоненты

• Вам потребуется подписка Microsoft Azure . Если у вас нет подписки Azure, вы можете зарегистрироваться для бесплатной подписки.

• Необходимо включить Microsoft Defender для облака в подписке Azure.

• Только пользователи AWS — Подключение учетной записи AWS.

Реагирование на оповещения в Defender для облака

Когда в базе данных включено средство Microsoft Defender для облака, оно обнаруживает аномальные действия и создает оповещения. Эти оповещения доступны в нескольких расположениях:

• На портале Azure выполните следующие действия:

  • На странице оповещений системы безопасности Microsoft Defender для облака отображаются оповещения для всех ресурсов, защищенных Defender для облака, в подписках, на просмотр которых у вас есть разрешения.
  • Страница Microsoft Defender для облака ресурса — отображает оповещения и рекомендации для одного конкретного ресурса.

• В папке "Входящие" любого сотрудника организации, для которого было назначено получение оповещений по электронной почте.

Совет

Живая плитка на панели мониторинга обзора Microsoft Defender для облака позволяет отслеживать состояние активных угроз для всех ресурсов, включая базы данных. Выберите плитку оповещений системы безопасности, чтобы перейти на страницу оповещений системы безопасности Defender для облака и получить обзор активных угроз, обнаруженных в базах данных.

Подробные инструкции и рекомендуемый метод реагирования на оповещения системы безопасности см. в разделе Реагирование на оповещения системы безопасности.

Реагирование на отправляемые по электронной почте уведомления об оповещениях системы безопасности

При обнаружении аномальных действий базы данных Defender для облака отправляет уведомления по электронной почте. В этом уведомлении содержатся такие сведения о подозрительном событии безопасности, как характер подозрительных действий, имя базы данных, имя сервера, имя приложения, а также время, когда произошло событие. Кроме того, в уведомлении приводится информация о возможных причинах возникновения события, а также рекомендуемые действия по поиску и устранению потенциальной угрозы безопасности базы данных.

1. В сообщении электронной почты выберите ссылку "Просмотреть полное оповещение", чтобы запустить портал Azure и отобразить страницу оповещений системы безопасности, которая содержит обзор активных угроз, обнаруженных в базе данных.

   

   Просмотрите активные угрозы на уровне подписки со страниц портала Defender для облака:

   

2. Чтобы получить дополнительные сведения о рекомендуемых действиях для изучения текущих и устранения будущих угроз, выберите конкретное оповещение.

   

Совет

Подробное руководство по обработке оповещений см. в разделе "Управление и реагирование на оповещения".

Следующий шаг

• Автоматизация реагирования на триггеры Defender для облака
• Потоковая передача предупреждений в решение SIEM, SOAR или ITSM
• Отключение оповещений из Defender для облака